攻擊面管理為何成為 2022 主流?
近期,美國網(wǎng)絡(luò)安全審查委員會發(fā)布首份報告稱,2021年年底曝光的Log4j漏洞成為難以消除的漏洞,其影響將會持續(xù)十年之久。
Log4j事件表明,我們對暴露的IT資產(chǎn)知之甚少。據(jù)統(tǒng)計,大型組織通常擁有數(shù)千、數(shù)萬或更多面向互聯(lián)網(wǎng)的資產(chǎn),包括網(wǎng)站、敏感數(shù)據(jù)、員工憑證、云工作負(fù)載、云存儲、源代碼、SSL 證書等。
如果要問“攻擊者發(fā)現(xiàn)和利用Log4j等漏洞的頻率和速度帶來什么教訓(xùn)”,答案一定是應(yīng)在攻擊面管理和網(wǎng)絡(luò)保護(hù)工具部署等方面做出積極主動的探索。
現(xiàn)代數(shù)字基礎(chǔ)設(shè)施加速發(fā)展,容器化、SaaS應(yīng)用以及混合工作環(huán)境急速增長,企業(yè)面臨的攻擊面也在隨之?dāng)U大。為降低攻擊風(fēng)險,許多機(jī)構(gòu)都在努力發(fā)現(xiàn)、分類和管理面向互聯(lián)網(wǎng)的資產(chǎn)。
2018年, Gartner首次提出攻擊面管理(Attack surface management,ASM)的概念。2021年7月,Gartner發(fā)布《2021安全運(yùn)營技術(shù)成熟度曲線》,將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)。
Gartner預(yù)測,供給面管理解決方案將成為2022年大型企業(yè)的首要投資項(xiàng)目。ESG 高級首席分析師Jon Oltsik 也認(rèn)為,2022年是攻擊面管理技術(shù)重要的一年。在《2022年網(wǎng)絡(luò)安全的主要趨勢報告》中,Gartner研究人員強(qiáng)調(diào):隨著企業(yè)攻擊面持續(xù)擴(kuò)大,安全和風(fēng)險管理領(lǐng)導(dǎo)者將增加對相關(guān)流程和工具的投資。
攻擊面管理被視為向主動安全轉(zhuǎn)變的開始。主動安全意味著,可以像攻擊者那樣洞察整個攻擊面,通過持續(xù)測試,確定補(bǔ)救措施的優(yōu)先級并驗(yàn)證有效性,從而做到領(lǐng)先于潛在攻擊者。通過這種方式,機(jī)構(gòu)首次可以實(shí)現(xiàn)盡早洞察安全威脅,并采取適當(dāng)措施來緩解威脅和降低風(fēng)險。
2021年供給面管理領(lǐng)域發(fā)生眾多收購:Mandiant收購Intrigue,微軟收購RiskIQ,Palo Alto Networks收購Expanse Networks。這些頻繁的收購讓業(yè)界看到了供給面管理的發(fā)展勢頭。
Gartner 估計,到 2026 年,20% 的公司將實(shí)現(xiàn)對其95%所資產(chǎn)的可見性,而 2022 年這一比例不到 1%。這意味該領(lǐng)域仍然處于早期階段。
ASM:敞口管理的第一個支柱
攻擊面是指未經(jīng)授權(quán)即能訪問和利用企業(yè)數(shù)字資產(chǎn)的所有潛在入口的總和,包括未經(jīng)授權(quán)的可訪問的硬件、軟件、云資產(chǎn)和數(shù)據(jù)資產(chǎn)等;同樣也包括人員管理、技術(shù)管理、業(yè)務(wù)流程存在的安全漏洞和缺陷等,即存在可能會被攻擊者利用并造成損失的潛在風(fēng)險。
概括來說,攻擊面主要包括:
- 已知資產(chǎn):庫存和管理的資產(chǎn),例如您的公司網(wǎng)站、服務(wù)器以及在其上運(yùn)行的依賴項(xiàng);
- 未知資產(chǎn):例如影子IT或孤立的IT基礎(chǔ)設(shè)施,這些基礎(chǔ)設(shè)施超出了您安全團(tuán)隊(duì)的權(quán)限,例如被遺忘的開發(fā)網(wǎng)站或營銷網(wǎng)站;
- 流氓資產(chǎn):由威脅行為者構(gòu)建的惡意基礎(chǔ)設(shè)施,例如惡意軟件、域名搶注或冒充您域名的網(wǎng)站及移動應(yīng)用程序等;
- 供應(yīng)商:您的攻擊面不僅限于您的機(jī)構(gòu),第三方和第四方供應(yīng)商也會引入重大的安全風(fēng)險。即便是小型供應(yīng)商也可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露。例如,最終導(dǎo)致百貨巨頭Target泄露超過1.1億消費(fèi)者信用卡和個人數(shù)據(jù)的HVAC供應(yīng)商。
需要強(qiáng)調(diào)的是,并非所有資產(chǎn)暴露面都可以成為攻擊面,只有可利用暴露面疊加攻擊向量才會形成攻擊面。
攻擊面管理指的是以攻擊者的角度對企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測發(fā)現(xiàn)、分析研判、情報預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的一種資產(chǎn)安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性。
在Gartner報告中,攻擊面管理(ASM)是一組更廣泛的功能—— “敞口管理”(Exposure Management)——中的第一個支柱,其他組成因素還包括漏洞和驗(yàn)證管理。
敞口管理包括攻擊面管理、漏洞管理和驗(yàn)證管理
Gartner認(rèn)為,ASM涉及三個新興的技術(shù)創(chuàng)新領(lǐng)域,即網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、外部攻擊面管理(EASM)以及數(shù)字風(fēng)險保護(hù)服務(wù)(DRPS)。
- 其中,外部攻擊面管理(EASM)使用部署的流程、技術(shù)和托管服務(wù)來發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)、系統(tǒng)和相關(guān)漏洞,例如,可能被利用的服務(wù)器、憑據(jù)、公共云服務(wù)錯誤配置和第三方合作伙伴軟件代碼漏洞。
- 網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)專注于使安全團(tuán)隊(duì)能夠解決持續(xù)存在的資產(chǎn)可見性和漏洞挑戰(zhàn),使企業(yè)能夠通過與現(xiàn)有工具的 API 集成查看所有資產(chǎn)(內(nèi)部和外部),查詢合并的數(shù)據(jù),識別安全控制中的漏洞范圍和差距,并修復(fù)問題。
- 數(shù)字風(fēng)險保護(hù)服務(wù)(DRPS)通過技術(shù)和服務(wù)的組合提供,以保護(hù)關(guān)鍵數(shù)字資產(chǎn)和數(shù)據(jù)免受外部威脅。這些解決方案提供對開放網(wǎng)絡(luò)、社交媒體、暗網(wǎng)和深層網(wǎng)絡(luò)資源的可見性,以識別對關(guān)鍵資產(chǎn)的潛在威脅,并提供有關(guān)攻擊者及其惡意活動的策略和流程的上下文信息。
三者支持的一些用例存在重疊,存在一些混淆。EASM 更注重技術(shù)和運(yùn)營,DRPS 主要支持更多以業(yè)務(wù)為中心的活動。EASM 主要關(guān)注外部資產(chǎn),而 CAASM 關(guān)注內(nèi)部資產(chǎn)。
為什么需要攻擊面管理?
當(dāng)網(wǎng)絡(luò)防御者還徘徊在ASM門外時,攻擊者已經(jīng)在使用自動化工具來發(fā)現(xiàn)資產(chǎn)、識別漏洞并發(fā)起攻擊。事實(shí)證明,其中許多攻擊都很成功。
傳統(tǒng)的安全控制(例如防火墻、IPS、網(wǎng)絡(luò)分段等)能夠保護(hù)組織的網(wǎng)絡(luò);然而,“上有政策下有對策”,狡猾的攻擊者已經(jīng)轉(zhuǎn)向其他意想不到的攻擊媒介。他們開始針對自動掃描儀和安全團(tuán)隊(duì)經(jīng)常忽略的組織攻擊面——例如,針對社交媒體平臺上的員工或針對聊天/協(xié)作工具。此外,供應(yīng)鏈攻擊也為組織打開了另一個需要管理的攻擊面。
研究表明,69%的組織經(jīng)歷過的網(wǎng)絡(luò)攻擊是通過利用未知、未管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)開始的。這些網(wǎng)絡(luò)攻擊可能很嚴(yán)重——想想2017年的Equifax漏洞或2021年的Log4j事件。
攻擊面管理的價值包括:
- 提高資產(chǎn)可見性,使組織能夠避免盲點(diǎn)和不受管理的技術(shù)(例如“影子IT”),從而改善其安全狀況并實(shí)現(xiàn)更全面的風(fēng)險管理;
- 了解針對資產(chǎn)的潛在攻擊路徑,有助于組織確定安全控制部署和配置的優(yōu)先級。反過來,這有助于減少可能被利用的互聯(lián)網(wǎng)和公共領(lǐng)域的不必要暴露;
- 更準(zhǔn)確、最新和更全面的資產(chǎn)和安全控制報告,可以更快地報告審計合規(guī)性;
- 對數(shù)據(jù)收集的阻力更小,對影子IT、安裝的第三方系統(tǒng)和IT缺乏治理和控制的業(yè)務(wù)線應(yīng)用程序擁有更好的可見性;
- 獲得可操作的情報和有意義的指標(biāo),并且可以進(jìn)行跟蹤。這些證明了將ASM納入網(wǎng)絡(luò)安全計劃的價值。
因此,攻擊面管理解決方案包括如下部分:
- 發(fā)現(xiàn)資源
發(fā)現(xiàn)階段能夠識別組織的業(yè)務(wù)資源,其中還包括未記錄的資產(chǎn),例如具有開放端口的子域、生產(chǎn)服務(wù)器上的未開發(fā)應(yīng)用等。該階段還會發(fā)現(xiàn)黑客模仿和用來冒充組織員工的各種個人身份信息(PII)數(shù)據(jù)和資源,以及與公司資源相關(guān)的第三方服務(wù)或供應(yīng)商。
- 管理資產(chǎn)庫存和分類
在此階段,組織必須根據(jù)類型、技術(shù)屬性、監(jiān)管要求和對企業(yè)的價值,建立一個帶有適當(dāng)標(biāo)簽的庫存清單。每個部門管理的資源類別可能會有所不同,擔(dān)任領(lǐng)導(dǎo)職務(wù)的個人需要快速訪問他們管理的資源。因此,建立適當(dāng)?shù)姆诸惽鍐沃陵P(guān)重要。
- 驗(yàn)證持續(xù)監(jiān)控
資源在不斷變化,隨著庫存的增加,安全專業(yè)人員發(fā)現(xiàn)很難跟上最新資源的步伐。許多第三方應(yīng)用,每隔1天就會報告數(shù)十個可能被利用的安全漏洞。24/7全天候驗(yàn)證和監(jiān)控資源是否存在漏洞和配置問題至關(guān)重要。此外,組織還應(yīng)監(jiān)控深網(wǎng)和暗網(wǎng),監(jiān)控相關(guān)關(guān)鍵字,例如業(yè)務(wù)/項(xiàng)目名稱、關(guān)鍵人員詳細(xì)信息和其他機(jī)密信息。
- 確定資源和漏洞的優(yōu)先級
缺乏有效的風(fēng)險和安全評估,管理攻擊面將很困難。如果不進(jìn)行漏洞掃描,就很難知道資源存在哪些安全風(fēng)險,使組織面臨安全漏洞、信息泄露或其他網(wǎng)絡(luò)威脅。這就是識別和評估虛擬資源至關(guān)重要的原因所在,只有這樣組織才能看到應(yīng)該減緩和優(yōu)先考慮哪些威脅。
- 跟蹤服務(wù)的變化
為了全面了解攻擊媒介,對組織的公共和私人資源的持續(xù)跟蹤至關(guān)重要。它包括竊取憑據(jù)的網(wǎng)絡(luò)釣魚網(wǎng)站、與組織相關(guān)的虛假移動應(yīng)用程序以及虛假社交媒體資料等在線風(fēng)險。此外,該階段還會強(qiáng)制記錄現(xiàn)有庫存中的任何修改,例如發(fā)布新的Web應(yīng)用或與網(wǎng)絡(luò)連接的附加郵件服務(wù)器。
攻擊面管理的挑戰(zhàn)
企業(yè)高管和董事會越來越多地要求提高對安全風(fēng)險的可見性。但大多數(shù)安全團(tuán)隊(duì)仍在采用手動的、多線程的類ASM流程,通過提供一系列面向外部資產(chǎn)和風(fēng)險概況的情報來管理風(fēng)險。
ESG 的研究認(rèn)為,發(fā)現(xiàn)、分類和管理所有資產(chǎn)絕非一日之功。
除了明顯“盲點(diǎn)”外,大多數(shù)機(jī)構(gòu)都存在很多不知道的面向互聯(lián)網(wǎng)的資產(chǎn)。根據(jù)供應(yīng)商的說法,當(dāng)機(jī)構(gòu)使用自動掃描儀時,通常會發(fā)現(xiàn)大約40%的資產(chǎn)。
根據(jù)ESG調(diào)查,在43%的機(jī)構(gòu)中,攻擊面發(fā)現(xiàn)需要80多個小時,這完全跟不上云原生應(yīng)用、遠(yuǎn)程工作者、第三方連接做出的移動、添加和更改步伐。
與網(wǎng)絡(luò)安全的其他領(lǐng)域一樣,許多組織通過從大量不同的現(xiàn)有工具收集信息片段實(shí)踐 ASM。研究表明,41%的組織使用威脅情報源,40%依賴IT資產(chǎn)管理系統(tǒng),33%使用云安全監(jiān)控解決方案,29%依賴漏洞管理。當(dāng)然,必須有人收集這些數(shù)據(jù),將其關(guān)聯(lián)起來,并嘗試?yán)斫馑?/p>
ASM解決方案是從攻擊者的角度出發(fā),以連續(xù)和自主的方式評估企業(yè)的可發(fā)現(xiàn)攻擊面,幫助安全團(tuán)隊(duì)評估攻擊的可能性及其漏洞的影響。
ASM對參與企業(yè)的整體安全狀況做出了重大改進(jìn),但機(jī)構(gòu)需要上下文洞察力,不幸的是,目前的ASM方法在這方面仍存在不足。
除此之外,ASM面臨的挑戰(zhàn)還包括:
- ASA工具主要由小型供應(yīng)商提供。在中短期內(nèi),這些供應(yīng)商可能會受到并購,這可能會影響對它們的投資;
- ASA功能主要是開源功能的集合,進(jìn)入這個市場的門檻很低。大型安全平臺供應(yīng)商(例如擴(kuò)展檢測和響應(yīng) [XDR])提供者可能會構(gòu)建或獲取功能,以便為購買其更大的網(wǎng)絡(luò)安全工具生態(tài)系統(tǒng)的組織提供更強(qiáng)大的ASA功能;
- 每種ASA技術(shù)都可能是孤立的,并且可能會在配置、管理和維護(hù)方面產(chǎn)生額外的人力成本開銷;
- ASA技術(shù)的能力越來越多地與其他互補(bǔ)市場重疊,例如威脅情報、端點(diǎn)保護(hù)平臺、BAS和VA市場。已擁有相似可見性和風(fēng)險評估產(chǎn)品的組織可能難以證明添加ASA技術(shù)的成本是合理的;
- 與其他工具的集成可能會受到技術(shù)限制(例如缺少API)或不完整的可見性的影響;
- ASA技術(shù)通過來自其他記錄系統(tǒng)(例如CMDB)的聚合和協(xié)調(diào)流程提高了資產(chǎn)可見性,但并不能從根本上解決數(shù)據(jù)質(zhì)量差和粒度問題。
結(jié)語
現(xiàn)在,是時候使用ASM工具,以了解和保護(hù)組織的攻擊面了,否則隨時可能淪為下一個攻擊受害者。
Gartner建議企業(yè)實(shí)施攻擊面差距分析,以檢測 IT 和安全實(shí)踐與技術(shù)中的潛在盲點(diǎn)。這是改進(jìn)任何安全計劃的基礎(chǔ),尤其是安全管理者必須保護(hù)日益復(fù)雜的環(huán)境時。
ASA 技術(shù)通常易于部署和配置。Gartner建議企業(yè)評估關(guān)鍵風(fēng)險驅(qū)動因素,以了解應(yīng)優(yōu)先考慮哪些技術(shù)。一般來說,組織應(yīng)該在 CAASM 之前安裝和管理 EASM 和/或 DRPS,因?yàn)?CAASM 技術(shù)在管理 EASM 和 DRPS 輸出以完成其資產(chǎn)清單方面是可擴(kuò)展的。
